“剛剛注冊股票賬戶，就接到各種薦股推銷電話。”家住北京市大興區的周女士既驚訝又氣憤，她的信息怎么這么快就被眾多銷售人員“盯上”？

近日，知名漏洞響應平臺曝光了多家銀行、券商、保險、基金公司網站存在漏洞。2015年上半年我國金融機構的互聯網安全漏洞數量快速增長，投資者的個人信息、賬號密碼、交易記錄均存在被泄露的風險。

銀證保基均有知名機構“中招”

記者從“烏云”“補天”等多家漏洞響應平臺獲取的數據顯示，目前，已被曝出的金融機構網站大小漏洞涉及國聯證券、中國人保等多家知名金融機構，以及部分中小村鎮銀行、互聯網P2P平臺，這些漏洞不少已被金融機構廠商確認存在信息泄露等風險。

——數家商業銀行“中招”，轉賬記錄可能泄露。今年7月以來，就有中國郵政儲蓄銀行、包商銀行在上述響應平臺被曝出存在漏洞，目前大多數漏洞已被金融機構確認并修復。其中一份已修復的漏洞示例圖中，包商銀行網站某系統漏洞此前可被利用查看部分銀行轉賬記錄，包括轉賬金額、時間以及持卡人戶名、賬號、電話號碼等信息。

——部分證券公司投資者開戶信息遭遇泄露風險。今年6月，國聯證券在某漏洞相應平臺確認其系統存在漏洞，可能泄漏信息；7月以來，國泰君安證券僅在某響應平臺就被曝出多個漏洞，且均已被廠商確認修復，其中一個注入漏洞被修復前被響應平臺標明為可能泄漏券商預約開戶人姓名、手機和郵箱。

——一些基金公司、保險公司交易信息、保單信息可能泄露。“補天”漏洞平臺數據顯示，中銀基金此前被曝出某系統漏洞涉及千萬條個人信息，其中包括基金賬號和密碼，另有部分交易記錄遭遇泄露風險。中國人保系統此前還被曝出可未授權訪問大量保單信息，包括姓名、身份證、學校等，公司確認目前仍在修復中。

“金融機構網站漏洞造成的危害主要包括能夠非法讀取、篡改、添加、刪除數據；私自添加或刪除賬號；注入木馬；盜取用戶賬戶、修改用戶設置、盜取敏感信息，因此危害相當嚴重。”國內最大的漏洞相應平臺烏云負責人介紹，僅2015年上半年，已被金融機構確認、修復的自身網站安全漏洞的數量已超過去年同期，其中金融機構網站高危和中危漏洞數量的總和，已占總體探知漏洞總數的97.2%。

股民信息六角錢一條被倒賣

金融機構網站漏洞會給消費者帶來怎樣的影響？業內人士指出，部分敏感信息通過金融機構網站漏洞泄露，最直接的影響是導致推銷電話騷擾乃至財產損失。例如，這些漏洞可能泄露大量用戶數據，如郵箱、手機、銀行賬號等。泄露的信息主要被用于電話銷售、欺詐投資等用途。

根據相關技術人員提供的線索，記者通過某即時通訊軟件聯系到了一家名為“全國股民電話資源”的聊天群，其中有不少“黃牛”在倒賣已泄露的開戶股民個人信息，數據報價0.6元／條。

在一份四川成都籍賣家提供的包含200名開戶股民電話的試用信息中，記者撥打了多個電話，均驗證是在當地券商開戶不久的新客戶。而在部分賣家兜售的客戶信息中，標明來源于數家知名券商機構。一些賣家宣稱，可以“長期專業從金融機構提取一手優質投資者號碼”，范圍可以“精準至各縣區”，隨時在售的包括銀行VIP、P2P理財、股民、貴金屬投資者等電話信息，“空號實時檢測，質量絕對有保證，僅僅是QQ群平臺類似我們這樣的銷售群至少還有幾十家”。

來自名為“股民電話資源群”的一位QQ賣家告訴記者，股民、儲戶電話信息的購買者主要是電話推銷機構，其中不乏“倫敦金”等地下貴金屬、非法理財等“長期買家”。

記者從多位賣家處了解到，通過第三方支付線上付款，個人信息被交易的過程不超過數分鐘。

維權多無門亟待明確責任

據介紹，我國法律法規已明確金融機構等廠商對客戶信息負有保護責任，其網站系統的個人信息保護建設須符合國家標準。例如，我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》已正式實施。中國人民銀行也分別于2011年和2012年印發了《關于銀行業金融機構做好個人金融信息保護工作的通知》和《關于金融機構進一步做好客戶個人金融信息保護工作的通知》。

“然而，一方面，掌握龐大客戶資料和財務信息的金融機構在互聯網開展金融業務，其運行系統可能遭到黑客等存惡意目的人員的破壞，從中竊取相關信息。另一方面，銀行的專網內網絡傳輸過程中對于用戶身份的辨別、管理，很可能存在造假或存在識別不夠的問題。”國家信息中心專家委員會主任寧家駿說。

“一些金融機構自身技術和人為管理不善，是造成金融消費者信息泄露的主要原因。”安全漏洞專家、杭州信息技術有限公司安全咨詢總監馮旭杭說。記者了解到，出于節約成本的要求，目前證券、公募投資基金等金融機構的網上開戶交易系統多數交由軟件外包商開發、運營，但大多數軟件外包商對用戶信息安全表示“免責”，不提供任何信息安全方面的承諾。

中國電子信息產業發展研究院副院長樊會文指出，盡管按照全國人大常委會《關于加強網絡信息保護的決定》，遭遇信息泄漏的個人有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止。但消費者很難通過技術手段驗證泄密源頭的責任，難以維權。“一旦發生資金被挪用，很多時候會出現各方推諉責任，有關個人信息隱私保護的法律法規尚待完善。”

“除了監管機構，金融機構也應把其互聯網金融業務放在網絡安全、信息安全的新環境下考慮。”寧家駿認為，一旦發現風險苗頭，金融機構有責任及時處理；如果造成重大損害，監管部門應責令機構賠償投資者損失。